所有基于tcp的tls协议都提示connection reset by peer

DarkAge2018 commented 1 year ago

配置是照着@chika0801 模板写的，用的是最简单的配置，没有回落，也用过我之前保存的正确配置，只要是用tcp +tls的组合都用不了，服务器端日志一直重复下面几个错误，再也没有其他提示。只有xvison很短连上一两次。服务器没有开启防火墙的，端口换过，服务器系统也重装过了，都不行。用的是let'scrypt证书。

原版的vmess 、vmess mkcp、vless+quic 可以正常使用我还尝试了naiveproxy。https可以用一下后面就再也连不上了，quic倒是一直正常

xvison

"log": {
    "loglevel": "debug"
},
"inbounds": [
    {
        "listen": "0.0.0.0",
        "port": 1001,
        "protocol": "vless",
        "settings": {
            "clients": [
                {
                    "id": "XXX",
                    "flow": "xtls-rprx-vision"
                }
            ],
            "decryption": "none"
        },
        "streamSettings": {
            "network": "tcp",
            "security": "tls",
            "tlsSettings": {
                "certificates": [
                    {
                        "certificateFile": "/usr/local/etc/crt/v2ray.crt",
                        "keyFile": "/usr/local/etc/crt/v2ray.key"
                    }
                ]
            }
        }
    }
],
"outbounds": [
    {
        "protocol": "freedom"
    }      
]

}

2023/02/17 19:21:44 XXX:6650 rejected proxy/vless/encoding: failed to read request version > read tcp XX->XXXread: connection reset by peer 2023/02/17 19:21:44 [Info] [2164510024] proxy/vless/inbound: firstLen = 0 2023/02/17 19:21:44 [Info] [2164510024] app/proxyman/inbound: connection ends > proxy/vless/inbound: invalid request from XXX > proxy/vless/encoding: failed to read request version > read tcp XX->XXX read: connection reset by peer

vmess+tls

"log": { "loglevel": "info" }, "inbound": { "listen": "0.0.0.0", "port": 1001, "protocol": "vmess", "settings": { "clients": [ { "id": "XXX" } ] }, "streamSettings": { "network": "tcp", "security": "tls", "tlsSettings": { "certificates": [ { "certificateFile": "/usr/local/etc/crt/v2ray.crt", "keyFile": "/usr/local/etc/crt/v2ray.key" } ] } } }, "outbound": { "protocol": "freedom", "settings": { } } }

2023/02/17 19:33:20 [Info] [2525973712] app/proxyman/inbound: connection ends > proxy/vmess/inbound: invalid request from XXX> proxy/vmess/encoding: failed to read request header > read tcp XX->XXX read: connection reset by peer 2023/02/17 19:33:20 XXX:5349 rejected proxy/vmess/encoding: failed to read request header > read tcp XX->XXX read: connection reset by peer

trojan tls

"log": { "loglevel": "info" }, "inbound": { "port":1001, "protocol":"trojan", "settings":{ "clients":[ { "password":"XXX", "level":0 } ] }, "streamSettings":{ "network":"tcp", "security":"tls", "tlsSettings":{ "alpn":[ "h2" ], "certificates":[ { "certificateFile":"/usr/local/etc/crt/v2ray.crt", "keyFile":"/usr/local/etc/crt/v2ray.key" } ] } } }, "outbound": { "protocol": "freedom", "settings": { } } } 2023/02/17 19:42:37 [Info] [3006470137] app/proxyman/inbound: connection ends > proxy/trojan: failed to read first request > read tcp XX->XXX: read: connection reset by peer

chika0801 commented 1 year ago

你换一个vps商家的机子，测试过吗？

xqzr commented 1 year ago

某些地区 SNI 白名单

DarkAge2018 commented 1 year ago

你换一个vps商家的机子，测试过吗？

是VIRMACH的，手上没有其他机子了用的是x.duckdns.org的域名

DarkAge2018 commented 1 year ago

某些地区 SNI 白名单

是说我这边电信运营商搞的？是不是意味着其地区的有可能连上？

chika0801 commented 1 year ago

你试试hysteria tuic 2个协议能正常不？

再买个其它vps，方便自己调试排除法。

azzvx commented 1 year ago

这个我也遇到过，证书换个域名就好了。我同样用的duckdns的域名。具体表现是XRAY换端口或VPS换IP，第一次能连上，但是马上就reset by peer了。 XRAY换端口或VPS换IP后，刚开始ncat测试端口都是打开的，但是一旦发过TLS包，那么端口立马被封。

RPRX commented 1 year ago

配置是照着@chika0801 模板写的，用的是最简单的配置，没有回落，也用过我之前保存的正确配置，只要是用tcp +tls的组合都用不了，服务器端日志一直重复下面几个错误，再也没有其他提示。只有xvison很短连上一两次。服务器没有开启防火墙的，端口换过，服务器系统也重装过了，都不行。用的是let'scrypt证书。

原版的vmess 、vmess mkcp、vless+quic 可以正常使用我还尝试了naiveproxy。https可以用一下后面就再也连不上了，quic倒是一直正常

根据你的描述，你可能遇到了 SNI 白名单，去群里问下 REALITY 怎么用

RPRX commented 1 year ago

这个我也遇到过，证书换个域名就好了。我同样用的duckdns的域名。具体表现是XRAY换端口或VPS换IP，第一次能连上，但是马上就reset by peer了。 XRAY换端口或VPS换IP后，刚开始ncat测试端口都是打开的，但是一旦发过TLS包，那么端口立马被封。

~~看起来更像是 SNI 黑名单？~~

azzvx commented 1 year ago

这个我也遇到过，证书换个域名就好了。我同样用的duckdns的域名。具体表现是XRAY换端口或VPS换IP，第一次能连上，但是马上就reset by peer了。 XRAY换端口或VPS换IP后，刚开始ncat测试端口都是打开的，但是一旦发过TLS包，那么端口立马被封。

~看起来更像是 SNI 黑名单？~

就是黑名单，我找到一种100%封SNI的方法：VPS不屏蔽geoip:cn，然后本地QQ登录的时候选择通过XRAY的socks5或者http代理，然后点一下登录，SNI必封。

RPRX commented 1 year ago

这个我也遇到过，证书换个域名就好了。我同样用的duckdns的域名。具体表现是XRAY换端口或VPS换IP，第一次能连上，但是马上就reset by peer了。 XRAY换端口或VPS换IP后，刚开始ncat测试端口都是打开的，但是一旦发过TLS包，那么端口立马被封。

~看起来更像是 SNI 黑名单？~

就是黑名单，我找到一种100%封SNI的方法：VPS不屏蔽geoip:cn，然后本地QQ登录的时候选择通过XRAY的socks5或者http代理，然后点一下登录，SNI必封。

这么严重啊，多久生效呢？~~如果用 REALITY 再这么操作岂不是。。。~~

azzvx commented 1 year ago

上一秒点登录，下一秒域名就被封了。就只针对这个域名，同VPS同IP同端口，刚开始用其他域名正常，一用被封的域名，那个端口就会被阻断10多分钟，然后换域名又正常了。域名多久解封就没试过了。

怀疑是疼训那边主动上报导致的。毕竟动作太快了。

DarkAge2018 commented 1 year ago

这个我也遇到过，证书换个域名就好了。我同样用的duckdns的域名。具体表现是XRAY换端口或VPS换IP，第一次能连上，但是马上就reset by peer了。 XRAY换端口或VPS换IP后，刚开始ncat测试端口都是打开的，但是一旦发过TLS包，那么端口立马被封。

是换证书就解决了。duckdns的域名好像被针对了，即便换了duckdns的其他域名，存活不到半个小时。其他地址的证书则一切正常

cross-hello commented 1 year ago

Oh, time. Remember the first domain is .duckdns.org.

Feb 19, 2023 10:33:40 DarkAge2018 @.***>:

这个我也遇到过，证书换个域名就好了。我同样用的duckdns的域名。具体表现是XRAY换端口或VPS换IP，第一次能连上，但是马上就reset by peer了。 XRAY换端口或VPS换IP后，刚开始ncat测试端口都是打开的，但是一旦发过TLS包，那么端口立马被封。

是换证书就解决了。duckdns的域名好像被针对了，即便换了duckdns的其他域名，存活不到半个小时。其他地址的证书则一切正常

— Reply to this email directly, view it on GitHub[https://github.com/XTLS/Xray-core/issues/1662#issuecomment-1435823297], or unsubscribe[https://github.com/notifications/unsubscribe-auth/AKGBAYBLZ6LF3TTCH5JP76TWYGBAFANCNFSM6AAAAAAU7MZDCE]. You are receiving this because you are subscribed to this thread.[Tracking image][https://github.com/notifications/beacon/AKGBAYCBQ5WL7ZEV4ZBNRG3WYGBAFA5CNFSM6AAAAAAU7MZDCGWGG33NNVSW45C7OR4XAZNMJFZXG5LFINXW23LFNZ2KUY3PNVWWK3TUL5UWJTSVSTWMC.gif]

chika0801 commented 1 year ago

这个我也遇到过，证书换个域名就好了。我同样用的duckdns的域名。具体表现是XRAY换端口或VPS换IP，第一次能连上，但是马上就reset by peer了。 XRAY换端口或VPS换IP后，刚开始ncat测试端口都是打开的，但是一旦发过TLS包，那么端口立马被封。

是换证书就解决了。duckdns的域名好像被针对了，即便换了duckdns的其他域名，存活不到半个小时。其他地址的证书则一切正常

https://hostloc.com/thread-1138962-1-1.html 如果你在福建可参考

XTLS / Xray-core

所有基于tcp的tls协议都提示connection reset by peer #1662